三菱UFJ信託銀行の情報銀行サービス「Dprime」が終了するとのこと。情報銀行というコンセプト自体はよいと思うが、すでに情報を握っているIT巨人ではなく、もともとの銀行がやるというのがハードルが高かったのかもしれない。銀行なら信頼できるから預けて活用する、というわけではなくて、預ける情報の不安から活用されなかったようだ。たぶん、これは過度な監視・管理社会が嫌いという日本の国民性の問題だったのかもしれない。そして、まだ、時期早々だったのだろう。
三菱UFJ信託の“情報銀行”終了 情報管理への不安から活用進まず
https://www.itmedia.co.jp/news/articles/2402/20/news115.html
今年も、情報セキュリティ10大脅威 2024 が発表された。
https://www.ipa.go.jp/security/10threats/10threats2024.html
10大脅威としては、新しいものはなく、継続的に10大脅威に入っているものばかり。何年も経つのに、この脅威リストに載り続けるということは、それだけ対策ができていないということでもある。
ランサムウェアの攻撃は、「標的型攻撃」や「ゼロデイ攻撃」「犯罪のビジネス化」と組み合わされて、毎年被害が多く出ている。対策の決定打はないので、攻撃側とのいたちごっこが続いているわけだ。
個人的な感想としては、脅威については変わっていないですが、順位の変動がある。組織向けの脅威の「 内部不正による情報漏えい等の被害 」「 不注意による情報漏えい等の被害 」は、昨年よりも順位が上がっている。コンピュータ側のセキュリティソフトの対応の外側、人による操作による情報漏洩が昨年よりも注目されているようだ。逆に「 テレワーク等のニューノーマルな働き方を狙った攻撃 」は大幅に順位が下がっているので、テレワークが比率が下がっていたりなどの背景もあるんじゃないかと思う。あたらしい重大な脅威はないけれど、気は抜けない。
VMware Toolsの脆弱性の評価は、CVSSv3基本スコアで、CVE-2023-34057は「7.8」(Important)。ゲスト仮想マシンへのローカルユーザーアクセスを持つ悪意のある攻撃者が、仮想マシン内の権限を昇格できる可能性があるとのこと。
「VMware」のゲストOS向けアプリ「VMware Tools」に重大な脆弱性 ~対策版への更新を – 窓の杜 (impress.co.jp)
https://forest.watch.impress.co.jp/docs/news/1543401.html
脆弱性が修正されたバージョンへのVMware Toolsの更新が必要。
対象となるVMware Toolsのバージョン 12.xx、11.xx、10.3.x
脆弱性対応されたバージョン 12.3.5
https://www.vmware.com/security/advisories/VMSA-2023-0024.html
ダウンロードのURLは下記。ダウンロードには、VMwareのCUSTOMER CONNECTのアカウントが必要。
忘れたころにやってくるドメインの廃止(更新をやめる)の問題。個別にキャンペーン用にドメインを取得して作るから、キャンペーンが終わった後に、更新し続ける予算がなくなって、更新をやめたら発生する地雷のような問題だ。
ドコモ口座ドメイン名流出の背景 企業・政府におけるドメイン運用の課題
https://www.watch.impress.co.jp/docs/series/suzukij/1534421.html
今回、ドコモはオークションで、他社に落札されないようにするために多額の資金が必要になったわけだ。失効は社内管理の不手際だったらしい。個別にドメインを取得していくと管理が大変になるので、更新ミスも発生するわけだ。メインとなるドメイン1つで、そのサブドメインでキャンペーンを行うのが、やっぱりいいと思う。わないけれど、とりあえず抑えるドメインはあってもいいだろうけれど。
予算の話もあるので、ドメイン維持の課題はこの先も続いていくのだろう。使いまわしをやめるようになればいいのだだろうけれど、現状ではそういうものでもないからなぁ。
IntelのCPUに「Downfall Attacks」と呼ばれる脆弱性が見つかったとのこと。
第6世代Skylakeから第11世代Rocket LakeおよびTiger LakeまでのIntelプロセッサを使っているコンピュータが対象になるとのこと。この脆弱性を悪用すると、Gather Data Samplingを使用して他のユーザーからデータやその他の機密情報を盗み出すことができるようだ。
Linuxについては、Gather Data Samplingを無効化する方法が公開されているがパフォーマンスが低下するようだ。Windowsについては、Microsoftが対策中のようだ。今後の動きは注目しておきたい。
参考
読了した。実際のケースのところは、簡単なマンガになっていて、イメージが付きやすい。対策のところは、賛否がありそうなものもいくつかはある。
事例は、よくやりそうなミス系と、シャドウIT系のものが多い。やりがちなものが多いので、新人とか、使い方が怪しい人に読んでもらうには、ちょうどいいと思う。ほんと、気をつけないといけないようなものが多い。悪意があるわけではなく、善意とかがんばりの結果が・・・セキュリティ事故に繋がっている事例ばかり。本当に、ちょっとしたところなので、気をつける必要ありだ。自分は大丈夫だと言い張る人に読んでもらいたいくらいだ。そういう人にかぎって、いろいろと使っているので。
うっかりということはあるので、気を付けよう。
忘れたころに復活してくるEmotetが、また流行の兆しが見えてきた。今回のEmotetは、最新のEmoCheckでEmotetを検知できないケースも確認されているとのこと。いたちごっことはいえ、なかなかつらい。
わざと、大容量の添付ファイルにすることで、ウィルスチェック機構を回避(大きなファイルはメールのウィルスチェックの対象外になるという抜け道を利用)しているようだ。さらに、メールの署名なども巧妙化しており、本物の差出人と同じものを使っているケースが見られたとのこと。パッと見では、ウィルス付きメールとわからないように偽装しているので、内容が怪しかったら、うかつにひらかないようにしないといけない。
くわしくはJPCERT/CCの注意喚起を参照。
読了した。いつごろの時代から情報セキュリティという考えかたができて、どう変遷してきたのか。それが書かれてあり、面白かった。敗北史と題名についているだけあり、セキュリティの対策と、それをぬけてくる様々なことが書かれていた。今の状況の背景を知るというのは、本当に重要。
情報セキュリティの歴史と、その敗北をしると、ゼロトラストセキュリティという思想が出てきた理由も腑に落ちる。いまの状況打破という側面もゼロトラストセキュリティにはあるけれど、結局、行き着くところだった、ということなんだろう。防げないのであれば、レジリエンスを高めるというのは当然といえば当然と。セキュリティが考慮されて設計されたアーキテクチャでないのだから、そうなるわけだ。国家がハッキングによる情報収集を行って、そのハッキングを防ぐことができないというのであれば、同じ原理で攻撃者であるハッカー集団からも攻撃もあり防げない(ゼロデイアタック)可能性が高い。だから行き着く先はゼロトラストセキュリティの考え方になる、と。
それから、今のインターネットが完全に崩壊するようなワームやウィルスが出回らないのは、P.279の「最悪のワームを防ぐのは、現在のセキュリティ対策ではない。いまだにそうしたワームが発生していないのは、それが誰の利益にもならないからだというジョブズの答えは、恐らく正解だろう。このケースでは、他の多くの場合と同様に、情報セキュリティの経済学と心理学の観点から問題を検討することで重要な洞察が得られる。」ということ。分断したり、崩壊させるよりも、ほどよく脆弱性を使い、利用するほうが利益になるわけで、完全にインターネットをシャットダウンしたほうがよいという状況が作られない限りは、ギリギリで大丈夫なのだろう。
敗北の歴史から学ぶ、学びが多くてよい。初期の情報セキュリティ研究の幕開けのころの話はぜんぜん知らなかったし、考え方の変遷も面白かった。読んでよかった。
Ubuntuのセキュリティ対応状況を確認していて、状況が「Needs triage」になっているものが多数あり。「Needs triage」はどういう状況なのか忘れるので、メモ。
Needs triage → 脆弱性があるパッケージ(やモジュールなど)が存在しているが、対応が必要かどうかは確認・選別が必要な状況
Ubuntuの場合、ステータスが、Needs triageとなっているものは、脆弱性の影響があるのかどうかわからない状態ということ。
「Released (5.15.0-53.59)」となっているものは、カッコ内のバージョンで対応されているので、それと比べればよい。
「Not vulnerable (code not present)」は、影響なし。
「Text4Shell」というApache Commons Textのバージョン1.5~1.9にある脆弱性。この脆弱性を利用されると、意図しないリモートコード実行やリモートサーバ接続の危険性があるとのこと。「CVSS v3」では、「9.8」のクリティカル判定。MAXが10なので、数値としては、かなりの深刻度だ。
「Apache Commons Text」は、Javaのプログラムなどに組み込まれて使われるライブラリで、テキスト処理に特化した機能が集められたパッケージ。これ、地味に使っているかどうかの判定が難しい気がする。ソースコードで、importしているかの検索をすればよいが、ビルド時に使っているApache Cmmons Textのバージョンがいくつかによるので、管理されていないといちいち確認する必要がある。Githubなどにあるチェックツールを使っていれば簡単に検知できるみたいだが。
Log4Shellのような大事にはならないようだが、使っているかどうかが外形でわかりにくいこと、提供されてるプログラムの一部で使われている可能性もあることから、発見されないものが多く残りそうな気がする。
参考